{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
慶應義塾大学砂原教授と語る、共同研究で目指す「サイバーインテリジェンス連動型セキュリティメトリクス管理」の意義
2022-05-27
PwCコンサルティング合同会社(以下、PwCコンサルティング)と慶應義塾大学は2021年10月、「サイバーインテリジェンス連動型セキュリティメトリクス管理」に関する共同研究を開始すると発表しました。この共同研究は、高度化するサイバー攻撃に迅速かつ適切に対応することを目的としたものです。
具体的には最新のインテリジェンスをもとに企業のサイバーセキュリティの管理状況をリアルタイムに計測し、セキュリティ活動を動的に調整するための手がかりを得ることを目指します。またこの研究により、サイバー攻撃に係る情勢変化への適切な対応や、セキュリティ活動のROI(投資利益率)改善を支援します。
本稿ではPwCコンサルティングでセキュリティメトリクスによるセキュリティ管理の高度化に取り組む上村益永が、共同研究者である慶應義塾大学サイバーセキュリティ研究センター センター長の砂原秀樹教授をお招きし、共同研究の意義とその必要性について伺いました。(本文敬称略)
対談者
慶應義塾大学サイバーセキュリティ研究センター センター長
慶應義塾大学メディアデザイン研究科 教授
砂原 秀樹 氏
PwCコンサルティング合同会社
ディレクター
上村 益永
(左から)砂原氏、上村
セキュリティは「必ず付いてくるもの」
上村:
最初に、砂原先生がサイバーセキュリティ研究に取り組むようになったきっかけを教えてください。私が奈良先端科学技術大学院大学の学生だった2007年当時、砂原先生の専門はセキュリティではなかったと記憶しています。
砂原:
私の専門はセンサーネットワークやビッグデータ、データサイエンスなどでした。セキュリティの領域は同僚だった山口英さん*1にお任せしていればよいと考えていたのですね。
しかし、近年では「データ」と「セキュリティ」は切り離せない関係になっています。さまざまな分野でデータ活用が進む一方で 情報漏洩事件は増加し、データプライバシーの問題も議論されるようになりました。サイバー攻撃も高度化し、ファイアウォールなどの境界対策だけでは防御できなくなっています。インターネットでデータをやり取りするのであれば、セキュリティ対策は必須です。ですから「専門外だけどセキュリティにも首を突っ込まざるをえなくなった」というのが本音です。つまり、私にとってセキュリティは「特別な研究対象」ではなく、「何かをやっていると必ずついてくるもの」なのです。
上村:
私もクライアントに対しては「セキュリティ屋です」という顔をしていますが、大学院生時代は統計的な手法による音声信号処理の研究をしていました。正直に申し上げますと、学生時代は「何かを創造するテクノロジーに取り組みたい」と考えており、セキュリティには積極的に取り組んでいませんでした。
しかし、セキュリティ領域でクライアントを支援する中で、「何かを生み出したい」という思いが、「データドリブンでセキュリティを効率化したい」というカタチにまとまってきたのです。セキュリティの世界を極めるのではなく、定量化できる部分を指標化して、効率的なセキュリティ運用を実現することで企業のリソースの有効活用に貢献したいと考えるようになりました。
砂原:
私は2008年に、山口さんからセキュリティ人材の育成を頼まれてから、もう14年近く人材育成に携わっています。過去にはプロフェッショナル集団に全てのセキュリティ対策を任せていた時代もありましたが、高度化・複雑化するサイバー攻撃の現状を考えれば、それは現実的ではありません。セキュリティを定量化、指標化するという視点は、「高度な専門性を持った人材」の作業や知見を、ほかのメンバーたちに伝えていくということにつながると考えています。
上村:
クライアントを支援する中で、高度な専門性を持った人材がルーチン業務に忙殺されているのを見ると、「もっと難しい作業に専念させてあげることはできないのか」と思うことがあります。私の役割は、そのような人たちの作業を定式化・標準化し、人材リソースの最適な配分を支援することです。つまり、難題解決には高度な専門性を持った人材を配し、難題ではないけれど重要な業務は高度な専門性を持つ人材の方法論に基づき非専門家が適切に対応できるようにする。現在は専門家のインテリジェンスをテクノロジーで代替することで、非専門家でも継続的に取り組めるセキュリティ体制の構築支援に取り組んでいます。
砂原:
先ほど上村さんは「セキュリティをなるべく効率化したい」とおっしゃいましたが、共同研究で開発している「セキュリティメトリクス」を活用することで、そうした課題はある程度解決できると予想しています。その結果、企業組織全体のセキュリティが底上げできれば、高度な専門性を持った人材は、誰も解決できていない、より難解な課題に注力できます。
慶應義塾大学サイバーセキュリティ研究センター 所長 慶應義塾大学メディアデザイン研究科 教授 砂原 秀樹 氏
PwCコンサルティング合同会社 ディレクター 上村 益永
「サステナブルなセキュリティ管理」とは
上村:
次に「サステナブルなセキュリティ管理」について見解を聞かせてください。砂原先生とお話をするにあたり、「サステナブルなセキュリティ対策はどのように実現できるのか」を考えました。
ちょっと話は飛ぶのですが、サイバー空間は陸、海、空、宇宙に続く「第5の戦場」と言われていますよね。だからというわけではないのですが、最近はさまざまな軍事教本を読んでいます。そこで感じているのは、現在のサイバー空間の戦い方は「消耗戦」 が主流であることです。つまり、戦う前に多種多様なセキュリティ対策製品(武器)を用意し、攻撃されたら手持ちの武器を投入して防御する。そうすると攻撃者は別の攻撃を仕掛けてきますから、防御側も新たな次の武器を投入する。これを延々とくり返し、攻撃側と防御側で「どっちが先に手持ちの武器を使い果たして負けるのか」といった戦い方です。
こうした戦い方は非常に効率が悪く、防御する側は不利だと考えます。なぜならどこから仕掛けられるかわからない攻撃に備えるべく、事前に大量のリソースを投入しなければならないからです。効率良く戦うためには手持ちのリソースをうまく組み合わせて攻撃を難しくさせ、攻撃者に「この組織を攻撃しても割に合わない」と諦めさせるような環境を構築することが有用だと考えたのですが、いかがでしょうか。
砂原:
現在のセキュリティ対策が「消耗戦」であるという見解には私も賛成です。防御側にとって消耗戦が辛いのは、「攻撃側との組織体制の差」です。攻撃側は組織化されて効率的に攻撃してきますが、防御側はどこから攻撃されるかわかりませんから、全員が最前線で火消しに当たっているような状態です。
こうした課題を解決するには、防御側全員のスキルを棚卸しし、戦況に応じてリソースを有効に配分、投入する判断ができるだけのインテリジェンスを持つことが大切です。
そうした意味においても、セキュリティメトリクスは有用になります。防御側のセキュリティレベルを管理し、「この部分はこのくらいダメです」「この部分はこれくらいできているのであと少しがんばりましょう」ということを可視化できるからです。点在するアタックサーフェスを統合的に管理して「防御ができているのはどこか」「どの部分が弱いのか」という情報を共有することで、効率的な対策を継続的に講じられると考えます。
上村:
最新のインテリジェンスと連動した「セキュリティメトリクス」を常に確認することで、「今、何が起きているのか」「自分たちの組織にどのような脅威が迫っているのか」「どのように対処すべきか」を迅速に判断できます。月並みですが「可視化」は大切ですね。
砂原:
そうですね。ただし、今後、気づきを与える手段は「可視化」だけでなく、「可聴化」や「触知化(tangible)」といった手段も注目されると考えています。たとえば、異常値や脅威の種類によって異なるアラート(音楽)が鳴ったり、一刻を争うようなインシデントが発生したら、座っているいすが震えたりするという発想です。単なる確認であれば、「視覚」を使わなくてもよいですからね。
上村:
PwCでも次の技術として「触知化」を重要視しています。特にテクノロジードリブンで新たな取り組みをする場合、「触知化」のポテンシャルは非常に大きいと考えます。
タイムスパンと立場、視点の違いが共同研究の意義
上村:
最後に今後の展望について見解を聞かせてください。今回の共同研究で私が実感しているのは、「ビジネスとアカデミックのタイムスパンの違い」です。私たちビジネス側の人間は、新技術の活用や新サービスの提案などを1~3年のタイムスパンで考えます。ただし、アカデミアとの協働によって、近未来の技術の動向・方向性も踏まえて、不明瞭な未来も含めた新事業や新サービスを構成するのがベストだと考えています。
砂原:
確かに両者のタイムスパンは異なりますね。大学は10年単位のタイムスパンで研究をしています。ただし、ビジネスとアカデミックで異なるタイムスパンを持つのは当然ではないでしょうか。
企業は継続して利益を出す必要があります。一方、時間をかけて研究に取り組むのが大学の役割であり、採算性という言葉とは無縁の研究をしているチームも少なくありません。例えば触覚に関する研究をしているチームは、「人間の神経系に外部デバイスを接続して外部から操作が可能なのか」といった、100年くらい先でも実現するかどうかわからない研究に取り組んでいます。
当然すぐに事業化することは不可能ですが、こうした破天荒な研究の中からビジネスで活用したり社会実装できたりするような“何か”が漏れ出していくのです。両者に役割の違いがあるからこそ、大学は遠い将来を見据えた研究ができます。大学の研究室が生み出したものをどのようにビジネスに活かすのかは、共同研究をしながら両者が知恵を出し合って議論をすればよいのです。それこそが、大学と企業が共同研究する意義であり、価値なのです。
上村:
大学との共同研究でコンサルティングファームという組織が得られるメリットは、研究テーマが進み、ビジネス自体が前進することです。同時に、私が個人的に感じているメリットは、自身の成長につながるということです。これは、組織にとってもかなり重要なメリットとなります。共同研究のメンバーであるコンサルタント自身のケイパビリティが向上し、コンサルタントだけでは生み出せないアイデアやアプローチを学べる機会は、非常に貴重です。
砂原:
逆に、大学側は共同研究を通じて「自分たちの研究が箱庭的になってしまっている」ことに気付かされることがあります。普段はビジネスの現場と距離があり、どのようなニーズや課題があるのかを知りません。だからこそ、現場をよく知る企業からのリクエストやテクノロジーの活用方法を聞くと、新しい発見があります。
上村:
お互いの視点や立ち位置が異なり、ギャップがあるからこそ新たなモノが生み出せるのですね。今回の共同研究はとても刺激が多くてワクワクしています。本日はありがとうございました。
*1 山口 英氏
初代内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官。国内のセキュリティインシデント対策を支援する「JPCERTコーディネーションセンター(JPCERT/CC)」の設立に尽力。日本におけるサイバーセキュリティ人材育成の第一人者。2016年に死去。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
